domingo, 28 de febrero de 2016

Digital, Disruptivo y Resiliente: Tres conceptos que marcan el futuro de la inseguridad de la información

Introducción
Estamos ad portas de una nueva revolución industrial, de una nueva era de transformación del mundo, donde se pasa de una necesidad de eficiencia, agilidad y costo-efectividad, a otra donde lo digital, lo disruptivo y lo resiliente cobra mayor importancia. Esta transición implica una renovación de la manera como entendemos el mundo y sus relaciones, lo cual exige anticipar una serie de cambios que, desde este momento, requieren las personas y las empresas.

Este cambio que se anticipa en el horizonte de los negocios, demanda una serie de nuevas prácticas de gestión y gobierno que deben estar fundadas en posturas poco convencionales de los negocios y las empresas, como quiera que mantenerse en el statu quo actual implica aislarse de las oportunidades que la nueva era puede anticipar. Sólo aquellos que han sabido explorar en esa nueva frontera de la humanidad, puede estar preparados para asumir los retos que ella les impondrá.

Por tanto, es un imperativo comprender la novedad que lo digital, lo disruptivo y lo resiliente incorpora a las prácticas empresariales, particularmente a la gestión y el gobierno de la seguridad de la información, donde particularmente la inevitabilidad de la falla, establece el parámetro referente donde se fundan las propuestas para avanzar en el aseguramiento de la información en un mundo volátil, incierto, complejo y ambiguo.

Así las cosas, esta breve reflexión desarrolla algunos aspectos de estos tres elementos y sus implicaciones en el ejercicio de la gestión y el gobierno de la seguridad de la información, apalancados desde la pedagogía del error, en la cual la falla, es una oportunidad para descubrir aquello que ha estado oculto los ojos más despiertos y la forma como podemos dejarnos abordar por la sorpresa y la novedad.

Lo digital (Magro, Salvatella, Álvarez, Herrero, Paredes y Vélez, 2014)
No tiene que ver con lo tecnológico, particularmente define toda una nueva manera de relacionarnos, una forma de crear y hacer evidente las conexiones que tenemos con otras personas y con el entorno. Lo digital es una experiencia relacional que termina con una posibilidad de un desarrollo tecnológico que habilita una sintonía más fluida con otros individuos y con el ambiente.

El campo de lo digital habilita la existencia del ecosistema, esa distinción que contextualiza aquellos productos y servicios que han modificado el entorno, creando una red extendida de información, que a través de posibilidades tecnológicas, las empresas y las personas son capaces de capitalizar para concretar nuevas ofertas y oportunidades que cambien la forma de hacer las cosas.

En este sentido, lo digital crea una red de contactos, información y conocimiento que permite la interconexión de expectativas, retos y eventos que puede afectar buena parte del ecosistema del cual se hace parte, bien para manifestar un enfoque novedoso que cambie la manera de ver el mundo o bien por hacer emerger nuevas distinciones de productos o servicios que amplíen la manera de hacer las cosas.

Esta realidad digital, habilita una economía digital que es silente, que se desarrolla en un territorio no físico, inmenso e invisible, y que está regida por múltiples apuestas automáticas que le confieren dos características clave, velocidad e impredecibilidad. En este escenario las transacciones permiten un flujo de información, ahora financiera representada en operaciones que establece una forma de adquirir bienes o servicios de forma más ágil y oportuna.

Lo disruptivo (Gans, 2016)
Suspensión de la realidad, que produce cambios radicales. Una expresión de la contundencia de la creatividad y la innovación que supera las expectativas de los más retadores. Lo disruptivo implica quebrar el paradigma vigente a la fecha, procurando explorar caminos inéditos, creando condiciones encontradas con el statu quo, que hablen a la realidad de una nueva forma de ver el mundo, un mapa que inicialmente revela un territorio y termina modificando el mismo.

Lo disruptivo no aparece solo, se construye desde la realidad de otros, compartiendo expectativas, sumando fuerzas y sobre manera explorando las nuevas necesidades de las personas, ampliando la capacidad para transforma el entorno, no desde una visión particular, sino desde la postura de aquellos que sueñan con un mundo distinto y que visualizan los cambios antes que ésos ocurran.

Este cambio de paradigma opera desde zonas inexploradas, problemas revisados en otros dominios, propuestas contradictorias que cuestionan modelos consolidados, en pocas palabras, desde posturas “abiertamente equivocadas” desde los referentes actuales, pero profundamente documentadas desde la investigación y los espacios psicológicamente seguros, creados para poder avanzar y aprender de aquello que aún no se conoce.

Por tanto, la condición de disruptivo es una apuesta por lo inexplorado, por la contradicción y los inciertos, como fundamento de la experimentación y fallas anticipadas que requieren las organizaciones, para crear entornos distintos y prácticas emergentes, que le abran nuevos espacios en sus sectores de negocio y promuevan movimiento hacia otros sectores donde sus propuestas cambien la forma de hacer las cosas (Krupp y Schoemaker, 2014).

Lo resiliente (Charan, 2015)
La resiliencia en capacidad de respuesta y adaptación, es poder seguir operando y en movimiento aún en una condición contraria y muchas veces incierta, para luego reconectarse con aquellos puntos afectados y nuevamente recuperar la normalidad, no sólo ajustándose a la nueva realidad, sino avanzando de forma expedita en el nuevo entorno que opera.

Las organizaciones y personas resilientes, son personas y estructuras que tienen la flexibilidad para moldear y acoger situaciones de cambio, ajustando sus prácticas internas y habilitando la infraestructura requerida para hacerlo, como fundamento de la transformación que debe hacer para conquistar la situación adversa. No es resiliente sólo quien vuelve a la normalidad, sino quien se hace una mejor versión de sí mismo.

Cuando una empresa o individuo mantiene una postura positiva y propositiva frente a la adversidad, y asume estados proactivos que motivan cambios que aceleran la recuperación y control de las situaciones contrarias, estamos ante organizaciones y personas que entienden la falla como una oportunidad para desaprender y construir nuevos fundamentos de conocimiento, que generalmente terminan en una operación más ágil y confiable frente a la inevitabilidad de la falla y en personalidades robustas y resistentes cuyo coraje y valentía son signos de su capacidad de respuesta.

Digital, Disruptivo y resiliente. Una vista desde la inseguridad de la información
Analizar estas tres tendencias sobre el ejercicio de la seguridad de la información, es concretar la dinámica inherente del tratamiento y gestión de la inseguridad de la información. Es entender que el gobierno de la seguridad de la información, está fundado en la distinción de seguridad por vulnerabilidad (Cano, 2015).

La seguridad de la información en un entorno digital, disruptivo y resiliente, no puede pensar más en parcelas de conocimiento de la empresa, sino en visiones integradas, convergentes y efectivas que integren el concepto de seguridad y control como fundamento del valor percibido por las personas, en un mundo digitalmente modificado (Bonchek y Steele, 2015).

Esto es, comprender las relaciones que se revelan en el entorno del ecosistema digital donde opera la empresa, no para restringir o acomodar, sino para motivar un uso responsable de los activos y un tratamiento acorde con las motivaciones y necesidades que tienen los actores. Lo anterior implica condiciones de monitoreo y tendencias de utilización, como quiera que dicho activo representa siempre no sólo la imagen de la compañía, sino el valor que se percibe por sus clientes.

Así las cosas, se privilegian bajo estos nuevos normales de las empresas del siglo XXI, la necesidad de habilitar prácticas que permitan a la seguridad de la información fallar de manera anticipada, esto es, una inversión en la inseguridad de la información que genere nueva ventanas de aprendizaje y desaprendizaje, para valorar riesgos emergentes y situaciones desconocidas, las cuales nutran el ejercicio de pronóstico que ahora los líderes de las áreas de seguridad deben tener como fuente natural de sus procesos.

Cuando lo anterior ocurre, estamos advirtiendo una nueva era para los oficiales de seguridad de la información donde inicialmente estaban avocados al cumplimiento de expectativas relacionadas con agilidad, eficiencia y costo-efectividad, y ahora, se requiere dar respuesta a las exigencias propias de lo digital, lo disruptivo y lo resiliente.

Esto significa que el Chief Information Security Officer, concentrado en los aspectos claves de los flujos de información corporativos, se encuentra con el Chief Digital Security Officer, que conoce y revela las relaciones extendidas de la organización con su ecosistema tecnológico, para habilitar un uso adecuado y transparente de la información, así como el cuidado del valor en sí mismo de los activos digitales de la empresa.

Estos dos roles (ver figura 1), plantean todo un desafío corporativo para desconectar las prácticas que tenemos hoy desde los estándares de la industria ampliamente referenciados e integrarlos con una realidad extendida y un mundo digitalmente modificado, para reconectarlos desde la vista de un ecosistema digital, donde tanto el entorno y todo lo que ello conlleva, así como las expectativas de las empresas, se hagan parte de una estrategia digital (Curran, Puthiyamadan y Wendin, 2016), que no solo beneficie a los usuarios finales, sino que habilite nuevas capacidades para crear nuevas disrupciones.


Gráfica No. 1 Chief Information Security Officer y Chief Digital Security Officer

Reflexiones finales
En conclusión, podemos afirmar que la seguridad de la información desde la perspectiva de lo digital, lo disruptivo y lo resiliente, debe evolucionar para continuar acompañando al negocio para concretar sus retos como organización y procurar potenciar el valor que los clientes reciben de aquellos nuevos productos digitalmente modificados.

Dicha evolución no se puede dar sólo extendiendo la aplicación de los estándares conocidos a la fecha, que si bien han fortalecido una práctica virtuosa de la seguridad y el control, deben ser repensado y ajustados a una realidad que evoluciona mucho más rápido, genera mayores contradicciones y donde los “errores” son oportunidades que crean entornos inestables y propicios para avanzar y posicionar nuevos negocios.

Así las cosas, el gobierno de la seguridad digital, alineado con esta realidad, no puede basarse en las certezas y contextos conocidos, sino en la inevitabilidad de la falla, en el constante aprendizaje de la seguridad por vulnerabilidad, que permite a la organización estresar sus supuestos de protección actuales y revelar aspectos opacos del control que la inercia de la práctica actual no revela.

Por tanto, los responsables de la seguridad de la información deben advertir los movimientos estratégicos del primer nivel respecto de la nueva estrategia digital de la empresa, para poder cambiar sus propios normales y comenzar la transformación de sus prácticas, que permitan mejorar la propuesta de valor de la empresa, ahora con la protección de la información desde los nuevos activos digitalmente modificados que ofrece la compañía.

Referencias
Bonchek, M. y Steele, E. (2015) What kind of thinker are you? Harvard Business Review. Noviembre. 
Cano, J. (2015) Modelo PERIL. Repensando el gobierno de la seguridad de la información desde la inevitabilidad de la falla. Memorias VIII Congreso Iberoamericano de Seguridad Informática. Universidad de las Fuerzas Militares. Quito, Ecuador. Noviembre. ISBN: 978-9978-301-61-6. 6-13
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Curran, C., Puthiyamadan, T. y Wendin, C. (2016) Raising your digital IQ. Strategy+Business. Issue 82. Spring.
Gans, J. (2016) Keep calm and manage disruption. Sloan Management Review. Spring. 1-8
Krupp, S. y Schoemaker, P. (2014) Winning the long game. How strategic leaders shape the future. New York, USA: PublicAffairs
Magro, C., Salvatella, J., Álvarez, M., Herrero, O., Paredes, A. y Vélez, G. (2014) Cultura digital y transformación de organizaciones. 8 competencias digitales para el éxito profesional. Barcelona, España: RocaSavatella.